เมนู

แฮกเกอร์เจาะช่องโหว่ Router D-Link DIR-859 เพื่อขโมยรหัสผ่าน

01 กรกฏาคม 2567 | ศุภกร สืบสุข

แฮกเกอร์เจาะช่องโหว่ Router D-Link DIR-859 เพื่อขโมยรหัสผ่าน

รายละเอียด

พบผู้โจมตีกำลังใช้ประโยชน์จากช่องโหว่สำคัญที่ส่งผลกระทบต่อเราเตอร์ D-Link DIR-859 ทุกรุ่น สามารถโดนขโมยข้อมูลบัญชีผู้ใช้และรหัสผ่านจากอุปกรณ์ ภายใต้รหัส CVE-2024-0769 (9.8) ซึ่งเป็นช่องโหว่โดยใช้เทคนิค Path Traversal ที่นำไปสู่การเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต ถึงแม้เราเตอร์รุ่น D-Link DIR-859 จะเข้าสู่สถานะสิ้นสุดการให้บริการ (End-of-Life) และไม่ได้รับการอัพเดทอะไรเพิ่มเติมแล้ว แต่ทางผู้ผลิตก็ได้ปล่อยประกาศเกี่ยวกับความเสี่ยงในไฟล์ “fatlady.php” ของอุปกรณ์ ที่มีผลกระทบต่อเวอร์ชันซอฟต์แวร์ทั้งหมดของเราเตอร์รุ่นดังกล่าว ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลของเซสชัน (session data) และสามารถยกระดับสิทธิ (privilege escalation) ทำให้ผู้โจมตีได้รับสิทธิระดับผู้ดูแลระบบ ผู้ใช้งานเราเตอร์รุ่นดัวกล่าวมีความเสี่ยงจากการถูกโจมตีอย่างมาก โดยเฉพาะเมื่อ D-Link ไม่ทำการปล่อยแพทต์แก้ไขช่องโหว่ CVE-2024-0769 ของเราเตอร์รุ่นดังกล่าว
ผู้ใช้งานที่ใช้เราเตอร์รุ่น DIR-859 ควรพิจารณาที่จะเปลี่ยนอุปกรณ์เป็นอุปกรณ์ที่ได้รับการสนับสนุนและได้รับอัพเดตด้านความปลอดภัยอย่างต่อเนื่อง

วิธีการโจมตี

ผู้โจมตีจะทำการโจมตีโดยการส่งคำขอ POST ที่เป็นอันตรายไปยัง /hedwig.cgi เพื่อทำการเจาะช่องโหว่ CVE-2024-0769 เข้าถึงพาทที่เก็บไฟล์ที่ใช้ในการกำหนดค่า getcfg ผ่านทางไฟล์ fatlady.php ซึ่งโจมตีจะพยายามเข้าถึงไฟล์ DEVICE.ACCOUNT.xml ที่อยู่ในพาท getcfg เป้าหมายเน้นไปที่รหัสผ่านของผู้ใช้แสดงให้เห็นว่ามีความตั้งใจในการจะยึดครองอุปกรณ์ ซึ่งจะทำให้ผู้โจมตีได้รับสิทธิในการควบคุมทั้งหมดภายในอุปกรณ์นั้นๆ และพบเพิมเติมอีกว่าการโจมตีในลักษณะนี้ที่พบมาไม่ได้มีการกำหนดเป้าหมายไปที่ไฟล์ DEVICE.ACCOUNT.xml อย่างเดียว ปัจจุบันยังพบไปที่ DHCPS6.BRIDGE-1.xml ด้วยเช่นกัน

เป้าหมายการเข้าถึงข้อมูลจะรวมถึงไฟล์การกำหนดค่าอื่น ๆ

  • ACL.xml.php
  • ROUTE.STATIC.xml.php
  • INET.WAN-1.xml.php
  • WIFI.WLAN-1.xml.php
ถ้าผู้โจมตีสามารถเข้าถึงไฟล์เหล่านี้ได้ อาจจะส่งผลให้ผู้โจมตีทราบถึงการตั้งค่าต่างๆ ภายในอุปกรณ์นั้นๆได้ เช่น การกำหนดค่าควบคุมการเข้าถึง (ACLs), การกำหนดค่า NAT, การตั้งค่าไฟร์วอลล์, และบัญชีอุปกรณ์ ซึ่งอาจจะนำไปสู่การนำข้อมูลดังกล่าวไปประยุกต์ใช้ในการโจมตีลำดับต่อๆไป

 

ผลกระทบ

  • ผู้โจมตีสามารถเข้าถึงข้อมูลที่สำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน กลุ่ม และคำอธิบายสำหรับผู้ใช้ทั้งหมด
  • ผู้โจมตีอาจสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์ผ่านแผงควบคุมของผู้ดูแลระบบ
  • ช่องโหว่นี้อาจถูกนำไปใช้ร่วมกับช่องโหว่อื่นๆ เพื่อทำการโจมตีที่ซับซ้อนมากขึ้น

คำแนะนำและวิธีแก้ไข

  • ให้ปิดใช้งานคุณสมบัติการเข้าถึงจากระยะไกลของเราเตอร์
  • เปลี่ยนรหัสผ่านเริ่มต้นของเราเตอร์ และใช้รหัสผ่านที่คาดเดายาก
  • ตรวจสอบบันทึกของเราเตอร์เพื่อหาสัญญาณของกิจกรรมที่น่าสงสัย
  • ทำการเปลี่ยนไปใช้อุปกรณ์ที่ได้รับการซัพพอร์ตและได้รับอัพเดตแพทต์ด้านความปลอดภัย

ข้อมูลอ้างอิง

Hackers exploit critical D-Link DIR-859 router flaw to steal passwords | Bleepingcomputer
CVE-reported CVE-2024-0769 | github